pinkeyes - stock.adobe.com

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

¿Qué es la cripto-agilidad y cómo puede integrarla a su organización?

La cripto-agilidad implica conocer todas las partes que están utilizando la criptografía en su organización, saber cómo se está utilizando y tener la capacidad de identificar rápidamente los problemas y solucionarlos.

A medida que aumenta la cantidad de dispositivos conectados y la tecnología sigue desarrollándose hacia un futuro lleno de computadoras cuánticas, asegurar los dispositivos o aplicaciones y volverse "cripto ágil" es fundamental para el esfuerzo de una organización para alcanzar y mantener un estado de seguridad.

Como práctica recomendada, el cifrado siempre debe usarse entre diversos sistemas que interactúan entre sí, o son interoperables. Su organización debe requerir enlaces encriptados para proteger la información en tránsito, ya sea que esté destinada a sistemas internos o externos. A medida que aumenta el número de dispositivos conectados, convertirse en una organización "cripto ágil" es clave para la agilidad empresarial.

Entre los cifrados más comunes en uso hoy en día se encuentran los certificados TLS/SSL, que se utilizan para establecer conexiones seguras entre navegadores, servidores y un número cada vez mayor de dispositivos y aplicaciones.

TLS utiliza cifrado asimétrico y simétrico a través de una infraestructura de clave pública (PKI), que es el conjunto de hardware, software, personas, políticas y procedimientos necesarios para crear, administrar, distribuir, usar, almacenar y revocar certificados digitales. PKI también une las claves con las identidades de los usuarios mediante una Autoridad de Certificación (CA). PKI se beneficia del uso de ambos tipos de cifrado asimétrico y simétrico. Por ejemplo, en las comunicaciones TLS, el certificado TLS del servidor contiene un par de claves públicas y privadas asimétricas. La clave de sesión que el servidor y el navegador crean durante el protocolo de enlace TLS es simétrica.

Qué es y qué no es la cripto-agilidad

Un problema común que enfrentan la mayoría de los profesionales de seguridad es no tener una comprensión completa de dónde se usa el cifrado en toda la infraestructura de TI. “La cripto-agilidad implica conocer todas las partes que están utilizando la criptografía en su organización (por ejemplo, protocolos, bibliotecas, algoritmos, certificados, etc.), saber cómo se está utilizando y tener la capacidad de identificar rápidamente los problemas y solucionarlos. La verdadera cripto-agilidad le permite reemplazar sin problemas la criptografía obsoleta según sea necesario a través de la automatización”, señaló Timothy Hollebeek, principal representante de DigiCert en múltiples organismos de estándares de la industria, incluido el CA/Browser Forum.

De acuerdo con DigiCert, la cripto-agilidad no es solo la capacidad de usar diferentes algoritmos para funciones críticas (por ejemplo, hash, firma, cifrado, etc.), ni es la capacidad de elegir qué algoritmo (por ejemplo, SHA-1 o SHA-256) para usar en una función particular. La mayoría de las transiciones criptográficas ocurren a escala de internet y la transición de un algoritmo criptográfico a uno nuevo requiere trabajar con todos sus proveedores.

El primer paso para establecer la cripto-agilidad dentro de su organización es crear y comunicar claramente políticas sobre las mejores prácticas de TLS. Una vez que se establecen las políticas, el siguiente paso es el inventario de todos los activos de cifrado, lo que se puede lograr mediante el uso de una plataforma moderna de administración de certificados con una función de descubrimiento integral. Mantener un inventario de software es algo con lo que los profesionales de la seguridad están familiarizados, y necesitan desarrollar la misma información sobre todos los dispositivos conectados.

Una vez que el inventario esté completo y se tenga visibilidad y control de todos los activos criptográficos de la organización, se tendrá la flexibilidad de comenzar a probar nuevos algoritmos a medida que estén disponibles y/o reemplazar claves vulnerables, sin la preocupación de dejar a su organización sin seguridad o de romper procesos.

Finalmente, se debe considerar la transformación de la infraestructura de TI que la computación cuántica impulsará en un futuro no muy lejano. La computación cuántica permitirá que las computadoras y los dispositivos de internet de las cosas (IoT) ejecuten cálculos mucho más rápido de lo que es posible hoy en día. Promete cambiar fundamentalmente la forma en que abordamos todo, desde investigar curas para el cáncer hasta aliviar el tráfico en los centros urbanos. Pero realizar esas visiones requiere superar los nuevos desafíos de seguridad de IoT que creará la computación cuántica.

Para garantizar que una organización pueda mantener la cripto-agilidad, DigiCert recomienda asegurarse de trabajar con los proveedores, incluida la autoridad de certificación que elija, para seguir los hitos de los estándares de la industria y adelantarse a las transiciones criptográficas necesarias. “Del mismo modo, asegúrense de que su autoridad certificadora pueda ofrecer una plataforma de administración de certificados para darle visibilidad de todos los certificados digitales dentro de su entorno y tenga la capacidad de permitir encontrar y actualizar certificados rápidamente según sea necesario. Trabajen con otros proveedores de hardware y software que tengan una comprensión clara de la cripto-agilidad y puedan proporcionarles tecnología que pueda adaptarse a las amenazas y requisitos de seguridad en evolución”, aconsejan desde DigiCert.

Mejores prácticas de cripto-agilidad según DigiCert

  • Establecer y comunicar políticas claras
  • Inventario de todos los activos de cifrado
  • Identificar vulnerabilidades criptográficas (internas a su organización y con proveedores)
  • Tener la capacidad de probar nuevos algoritmos criptográficos
  • Tener la capacidad de reemplazar claves y certificados vulnerables rápidamente
  • Mantener la información de propiedad
  • Automatizar la gestión
  • Automatizar el seguimiento de reemplazo

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close